Notre petit bureau devrait-il avoir des serveurs DNS internes?

9

J'administre un petit bureau (<50 personnes). Nous avons toujours eu des serveurs DNS internes au bureau. Les serveurs DNS sont assez simples, mais nous avons eu des problèmes avec eux dans le passé. Nous avons des ressources de bureau qui sont uniquement disponibles au bureau ou en externe via VPN, et nous avons également des ressources de bureau avec une adresse et un enregistrement publics. Ces ressources ont actuellement le même nom DNS, bien que ce ne soit pas nécessairement une exigence, et il y en a beaucoup moins qu'auparavant.

Nous possédons également déjà l'espace de noms du bureau interne, il est donc concevable que je puisse remplir mon DNS public avec toutes les adresses IP privées des ressources du bureau interne que nous avons et simplement cesser complètement d'utiliser le DNS interne.

Est-ce une bonne idée? Je n'ai jamais travaillé dans un endroit qui n'a pas de DNS interne au bureau. Quelles sont les raisons pour lesquelles nous devrions toujours le conserver? C'était autrefois critique, maintenant c'est toujours pratique, mais les problèmes que nous avons rencontrés ne le rendent plus pratique.

Raisons actuelles de conserver:

  • Le DNS fractionné nous permet d'utiliser le même nom d'hôte pour les ressources hébergées en interne mais également disponibles en externe
  • Nous avons quelques domaines de test que nous n'avons pas eu besoin d'acheter mais dont nous aurions besoin si nous nous en débarrassions
  • ??? c'est familier et réconfortant?

Raisons de s'en débarrasser:

  • Pas de support IPv6 actuellement
  • J'ai eu plusieurs problèmes avec la séparation du DNS, principalement avec la configuration VPN
  • Maintenance sur un serveur qui pourrait être inutile
Aaron R.
la source
Je pense que vous devez également prendre en considération d'autres éléments, comme le nombre de serveurs dont vous disposez et la stabilité de la connexion Internet. si vous comptez sur un serveur DNS externe, que se passe-t-il si vous perdez votre connectivité Internet pendant longtemps? (lorsqu'aucune information n'est plus mise en cache), cela signifie que personne de vos serveurs ne pourra également communiquer ensemble, et donc tous les services seront hors service. c'est un bonus d'avoir un serveur DNS local au moins pour la mise en cache et effectuer des résolutions locales.
olivierg
1
La principale raison d'avoir des serveurs DNS internes, au moins sur un réseau Windows, est de prendre en charge Active Directory et un domaine Windows. Si vous exécutez un domaine, vous ne pouvez pas vous débarrasser de votre DNS intégré AD. Ou, du moins, vous ne devriez pas de toute façon.
Appleoddity
Nous avons un serveur LDAP interne, pas AD. Le DNS n'est pas intégré à cela, bien que je me demande s'il a une interdépendance.
Aaron R.
il doit avoir des exigences DNS, s'il y a plusieurs serveurs LDAP, AD utilise des SRVenregistrements pour la découverte de service, Dir389 aussi.
Jacob Evans
Intéressant, bon à savoir. Bien que je ne sois pas sûr que cela devrait être interne dans tous les cas; il me semble que nous pourrions utiliser le DNS public pour cela.
Aaron R.

Réponses:

5

Lecture de vos commentaires ...

Je garderais à 100% DNS. Je voudrais également étendre votre implémentation LDAP à AD. 50 personnes est certainement assez grand; J'implémenterais le DNS pour> 10 utilisateurs s'ils ne sont pas du tout techniques et s'ils ont accès à plusieurs ressources internes.

Concernant les inconvénients:

  • Pas de support IPv6 actuellement

Quelle plateforme utilisez-vous? Il existe plusieurs plates-formes avec prise en charge IPv6 - à savoir OpenDNS

  • La configuration VPN cause des problèmes

Aucune infraction prévue, mais peut-être devriez-vous comprendre pourquoi les configurations VPN cassent le DNS et résoudre cela? C'est mieux que la solution de contournement de "Non, le DNS interne est trop compliqué pour fonctionner avec le VPN!".

  • la maintenance

Automatisez, automatisez, automatisez - cela ne devrait pas être trop difficile tant que vous adoptez une approche intelligente des entrées DNS et de la gestion du système dans son ensemble. Le DNS ne devrait pas avoir à être radicalement changé (du moins pas souvent).

kilrainebc
la source
1
Seulement environ un tiers du bureau utilise Windows, donc je ne suis pas vraiment intéressé à ajouter plus d'infrastructure pour implémenter un contrôleur de domaine. J'utilise Bind en ce moment, qui prend certainement en charge IPv6 mais il n'a pas été activé et cela prendrait du temps et des efforts de ma part; c'est le principal objectif, vraiment; Suis-je me mettre à risque de supprimer cette ressource et d'utiliser uniquement le DNS public, est-ce que je me prépare pour plus de travail plus tard en raison d'une future fonctionnalité de bureau qui aura besoin de DNS, etc.
Aaron R.
Désolé - supposait que tout le monde était sur un appareil Windows (bien que AD fonctionne bien avec Linux et j'imagine qu'il existe également des options matures pour OS X). Ce sont des décisions de conception que vous devez considérer et appliquer. Si vous pensez à la croissance et aux spécifications futures. pourrait avoir besoin de plus d'un domaine contrôlé par DNS interne des ressources internes - puis le garder autour, ou à tout le moins avoir prêt à démarrer si vous pensez que vous pourriez avoir besoin. Sinon, vous êtes le capitaine de votre propre bateau - vous savez? Ce genre de chose est toujours un compromis entre l'effort et les récompenses prévues. Bonne chance! :)
kilrainebc
4

Gardez le DNS interne, si nécessaire, rendez-le redondant.

  • Le DNS SplitBrain est un gâchis, mais généralement vous avez (beaucoup) plus d'enregistrements internes qu'externes. De plus, vous pouvez diviser votre trafic: interne utilise des IP internes, externe utilise des IP externes.
  • AD s'appuie à 100% sur DNS
  • Vous ne dépendez pas du DNS de votre FAI, car votre DNS pourrait utiliser la récursivité.
  • Vous ne voulez pas que tout le monde puisse rechercher votre ressource interne
  • Vous ne voulez pas fournir de ressources internes à votre (DNS-) FAI

Vous n'avez pas besoin de posséder votre DNS, quand tout le monde utilise Internet et que vous n'avez pas à gérer vos propres serveurs. Le VPN me semble être un service interne, je le garde en interne.

  • Pas de support IPv6 actuellement

Il existe encore des serveurs DNS sans v6? Tenez-vous au courant ici.

  • J'ai eu plusieurs problèmes avec la séparation du DNS, principalement avec la configuration VPN

Les problèmes de configuration ne disparaîtront pas avec un service qui disparaîtra. Vous devrez toujours configurer votre vpn correctement, y compris maintenant les règles de répartition pour le trafic DNS externe.

  • Maintenance sur un serveur qui pourrait être inutile

Le DNS est généralement petit et n'a pas besoin d'une propre boîte. Il vous suffit d'en configurer un sur l'un de vos serveurs fiables (comme un fichier ou un courrier).

bjoster
la source
1
Vous faites ressortir l'une des vraies questions que j'avais, peut-être une meilleure question en tant que nouvelle question, mais pourriez-vous expliquer davantage ce que vous voulez dire lorsque vous dites: «Vous ne voulez pas que tout le monde puisse consulter vos ressources internes. " L'ajout d'adresses IP privées dans le DNS public est rare, mais y a-t-il vraiment quelque chose qui ne va pas? Pourquoi serais-je intéressé si les pirates peuvent rechercher les adresses IP privées de mon entreprise? Ils ne sont toujours pas routables.
Aaron R.
3
Vous ne voulez pas donner à un pirate des indices sur votre réseau interne en cas de violation de votre sécurité. Une fuite de votre DNS interne donne des indices sur la structure du réseau interne, d'éventuelles cibles juteuses ("Aha!" HRserver est au 192.168.99.72! Merci! Je peux aller droit au but "), etc.
Brandon Xavier
1
Est-ce vraiment une préoccupation? Je sais qu'il existe un sentiment général dans la communauté professionnelle qu'il vaut mieux protéger toutes les informations possibles, mais je ne sais pas à quel point c'est critique. Tous nos DNS non publics pouvaient être interrogés et ils obtiendraient ces données en 10 minutes. Alors peut-être que nous économisons 10 minutes de piratage? Cela ne me semble pas très précieux.
Aaron R.
Votre DNS non public ne doit pas être ouvert aux requêtes .... D'où "non public" ...
kilrainebc
2
Techniquement, vous pouvez mettre vos soldats en public, mais techniquement, vous ne pouvez pas non plus porter de pantalon en public (ou tout simplement sur ce lieu de travail). Par conséquent, c'est possible , personne ne veut que vous fassiez cela et donc aucun professionnel de l'informatique ne le ferait.
bjoster